10 motivos para ser otimista em relação à cibersegurança

Morey Haber, Chief Technology Officer
March 13th, 2018

(Obs do Editor: Este é o segundo de dois blogs. Confira meu post de ontem sobre algumas reflexões pessimistas a respeito da segurança cibernética).

Ontem, escrevi um post detalhando dez razões para sermos pessimistas em relação à segurança cibernética. Para resumi-lo, não estamos no fim do mundo, mas nós, profissionais de segurança, temos alguns desafios sérios e precisamos de soluções reais para resolvê-los. Enquanto alguns ainda estão no dilema do copo meio cheio / meio vazio, outros estão tentando de fato resolver os problemas em vez e entendê-los como obstáculos. Nesse sentido, abaixo descrevo dez razões para ser otimista em relação à cibersegurança. Sim, são os mesmos tópicos com uma perspectiva positiva.

1) Os atores ameaçadores estão sempre à frente

A visão otimista é que estamos apenas um passo atrás. Os ataques que enfrentamos hoje não são tão sofisticados a ponto de ninguém encontrar uma solução para eles. Sim, atores de ameaça são inteligentes, mas os profissionais de segurança também são. Muitas defesas que desenvolvemos protegem contra diferentes ocorrências e exigem que atores de ameaça sejam excessivamente criativos para “bolar” a próxima exploração bem-sucedida. As técnicas simples, como a remoção de direitos de administrador, o controle de aplicativos e até o gerenciamento de patches podem impedir uma série de vetores de ataque. Se você não acredita nisso, considere o seguinte: se você tivesse aplicado o Microsoft MS17-010 dentro de 90 dias após a liberação, você não teria sido suscetível ao WannaCry. Mas, se seu argmento é em relação a patches para Windows XP e 2003, revise meu comentário # 6.

2) As soluções modernas não estão acompanhando a evolução das ameaças

Eu discordo. Na verdade, existem tantas novas tecnologias que protegem contra um único vetor de ataque que é difícil escolher a melhor. Por isso, opte por uma solução que se adapte às ameaças modernas e forneça atualizações como parte de sua manutenção. Se você precisar de uma prova, lembre-se de todos os add-ons para spyware e adware que os players de anti-vírus tentaram cobrar, além de seus serviços básicos. Camadas de recursos, funcionalidades avançadas e novas ferramentas devem estar incluídas em uma plataforma. É assim que você mantém suas soluções atualizadas e permite a evolução natural de suas implementações para acompanhar as ameaças.

3) As soluções de segurança cibernética são sempre defensivas, nunca ofensivas

Sim, elas estão. Se sua tecnologia de cibersegurança pudesse ser usada de forma ofensiva, o que aconteceria se fosse contra você! Um dos maiores riscos para soluções de consolidação, como log centralizado, gerenciamento de vulnerabilidades e serviços de diretório, é um único ponto de falha para uma infinidade de informações sensíveis e capacidades de comando e controle. Tudo o que é preciso é uma vulnerabilidade de dados para ajudar um invasor a ter presença persistente. Agora imagine se um ator de ameaça ou insider usou a tecnologia ofensivamente sem permissão adequada, racional. Na opinião deste profissional de segurança, os riscos são muito altos para considerar e a segurança cibernética deve permanecer de modo defensivo.

4) Não há profissionais da segurança cibernética suficientes

Não posso discordar deste argumento, mas estamos progredindo. O ensino superior começou a oferecer aulas de segurança cibernética, preparando a próxima geração de profissionais para preencher essas necessidades. Alguns programas oferecem 4 anos de experiência, incluindo certificações CISSP, de modo que os alunos já estejam preparados assim que se formem.

5) As iniciativas de compliance não são suficientes

Eu argumentaria que essa é a diferença entre física teórica e física aplicada. As iniciativas de compliance regulamentar são as diretrizes que deveríamos seguir e a implementação efetiva requer experiência e expertise. É por isso que contratamos parceiros de segurança e pagamos por serviços profissionais. Sua experiência e conhecimento resolvem o “gap” e fornecem a documentação necessária para a continuidade de nossos negócios e processos. As iniciativas de compliance regulamentar são realmente suficientes. Só precisamos aprender com outros profissionais sobre como implementá-las. O pessimista vai afirmar que nunca podemos implementar isso. O otimista perguntará quem pode nos ajudar a fazer funcionar.

6) Nenhuma provisão é pra sempre

Isso não é culpa do seu fornecedor, mas sim sua e da sua empresa. Muitos fornecedores oferecem tecnologia que é considerada estendida, ou um programa de suporte (que custa dinheiro) para manter soluções mesmo após o fim de seu ciclo de vida útil. Não cometa erros, pois eles podem ser muito caros. Mas cabe a nós entender o ciclo de vida de uma solução que escolhemos. Além disso, existem muitas camadas de tecnologia e melhores práticas de segurança – desde a segmentação até a prevenção e detecção de movimentos laterais – que podem proteger esses dispositivos bem após sua data de término. No final, não culpe o fornecedor. Precisamos fazer escolhas mais inteligentes ou exigir suporte prolongado da tecnologia que escolhemos para administrar nossos negócios.

7) Crescimento rápido da Internet das coisas (IoT)

Considere este um momento de aprendizagem e um método para compartilhar melhores práticas de cibersegurança com fornecedores que nunca trabalharam com tecnologia conectada antes. Esses fornecedores são neófitos. Eles estão desenvolvendo tecnologias para facilitar nossas vidas, e as comunicações são parte fundamental do processo. Eles só precisam ser ensinados e responsabilizados por projetos e implementações precários, de modo que a próxima geração de suas soluções seja melhor e mais segura. E sim, existe uma maneira correta de lidar com a divulgação pública de uma vulnerabilidade descoberta e de uma maneira errada. Desafio todos os pesquisadores de segurança para serem pacientes com os fornecedores que estão aprendendo a desenvolver melhores produtos para IoT.

8) Organizações com higiene básica de segurança precária

Acho que todos nós reconhecemos quais práticas de cibersegurança estão em execução em nossos negócios. A única vez que o pessimista vencerá este argumento é se ninguém está fazendo nada sobre isso ou sua empresa está em devolução. Pode acontecer quando a liderança está perdida ou o mercado está em declínio. Aproveite esta oportunidade para ajudar a corrigir os princípios básicos da cibersegurança – desde o gerenciamento de vulnerabilidades até a remoção de direitos de administrador. Se você domina os conceitos básicos, incluindo o gerenciamento de patches, sua base ajudará você a permanecer otimista em relação a futuras ameaças.

9) Desensibilizado para violações

As notícias relatam quase todas as violações de segurança da mesma forma. “N” pessoas tiveram suas informações pessoais roubadas ou a empresa “X” foi pirateada e as operações foram interrompidas. A chave para não se tornar dessensibilizada é entender o histórico e sobre o porquê. Se todas as violações dissessem que o hack ocorreu devido às credenciais padrão, não poderíamos fazer nada. A visão do otimista é investigar a história (no nível base) e aprender com os erros, de modo que não aconteça com você ou sua empresa. Cada caso deve ser diferente para que possamos aprender.

10) Possíveis problemas de cibersegurança com a remoção da neutralidade da rede

Eu acredito que a natureza humana faz o bem e que as empresas fazem o que é certo para proteger a Internet e seus negócios contra ataques. Quando nos comportamos mal, os governos e as leis tendem a intervir para regular e mudar o comportamento com penalidades. Se a neutralidade da rede estiver realmente no fim, o otimista em mim diz que os provedores farão o que é certo e não irão acelerar ou bloquear as atualizações ou informações críticas de segurança. Se o pessimista ganhar, teremos leis que irão os proibir. O governo será forçado a intervir e ninguém quer isso. Vamos tomar o rumo de novo novamente e fazer o que é certo – manter as informações de segurança abertas e irrestritas na web.

A cibersegurança exige que abracemos mudanças e nos tornemos otimistas sobre os desafios que enfrentamos. Se considerarmos os dilemas com uma atitude pessimista, nunca teremos sucesso em proteger nossas organizações. Enquanto todos nós somos vítimas de tempos em tempos, posso afirmar positivamente depois de 20 anos em tecnologia da informação e segurança, as coisas sempre melhoram. No entanto, devemos sempre olhar para ambos os lados de um argumento para construir nossas próprias opiniões e no caso da segurança cibernética, entender como um ator de ameaça pensa e porque ele se comporta da maneira que se comporta.

Na BeyondTrust, temos soluções para ajudar a resolver muitos desses vetores de ataque – desde o gerenciamento de contas privilegiadas até o gerenciamento de vulnerabilidades. Se você quiser saber mais sobre como ser otimista em relação à segurança cibernética, entre em contato conosco.

Morey Haber, Chief Technology Officer

With more than 20 years of IT industry experience and author of Privileged Attack Vectors, Mr. Haber joined BeyondTrust in 2012 as a part of the eEye Digital Security acquisition. He currently oversees BeyondTrust technology for both vulnerability and privileged access management solutions. In 2004, Mr. Haber joined eEye as the Director of Security Engineering and was responsible for strategic business discussions and vulnerability management architectures in Fortune 500 clients. Prior to eEye, he was a Development Manager for Computer Associates, Inc. (CA), responsible for new product beta cycles and named customer accounts. Mr. Haber began his career as a Reliability and Maintainability Engineer for a government contractor building flight and training simulators. He earned a Bachelors of Science in Electrical Engineering from the State University of New York at Stony Brook.